Организация создаёт форму обратной связи или анкету для клиентов — и выбирает Яндекс Формы: удобно, без программистов, результаты приходят на почту. Форма работает, заявки поступают. А потом выясняется, что с точки зрения 152-ФЗ всё это время данные собирались с нарушениями.
Проблема не в самом сервисе. Проблема в том, что использование внешней платформы для сбора персональных данных — это не просто технический выбор. Это юридически значимое решение, которое накладывает конкретные обязательства.
Правовые основания сбора данных через внешние формы
Когда организация размещает на сайте форму — не важно, самописную или через сторонний сервис — она становится оператором персональных данных. Именно оператор несёт ответственность за соблюдение 152-ФЗ: получает согласие, публикует политику, отвечает за хранение и удаление данных.
Яндекс Формы — это инструмент. Технически данные проходят через серверы Яндекса, прежде чем попасть к оператору. Это принципиально меняет схему: в ней появляется третье лицо.
Яндекс как третье лицо в процессе обработки
ООО «Яндекс» при использовании сервиса «Яндекс Формы» получает доступ к данным, которые вводят пользователи. Данные временно хранятся на платформе Яндекса и только потом передаются оператору — по email, в таблицы или через интеграции.
С точки зрения закона такая ситуация называется поручением обработки: оператор поручает другому лицу часть технических операций с данными. Это законная схема — но только при правильном оформлении.
Что такое «обработчик по поручению»
Яндекс в данной схеме выступает обработчиком по поручению оператора — он обрабатывает данные только в объёме, необходимом для работы сервиса, и не использует их в собственных целях (в рамках договора). Самостоятельным оператором в отношении этих данных Яндекс не является. Однако для Яндекса как компании действуют собственные правила и политики — они отдельны от ваших обязательств.
Условия использования сервиса Яндекс Формы для бизнеса закреплены в оферте. Принимая условия оферты при регистрации, организация фактически заключает договор с Яндексом. Этот договор и является юридическим основанием для передачи данных на обработку.
Важно: принятие оферты не снимает с оператора обязательств перед субъектами данных. Все требования 152-ФЗ по-прежнему лежат на организации, которая использует форму.
Оформление согласия на обработку ПДн в интерфейсе формы
Яндекс Формы позволяют добавить текстовый блок и чек-бокс в интерфейс формы. Именно здесь нужно разместить согласие на обработку персональных данных.
Чек-бокс должен быть обязательным полем — без его заполнения форма не должна отправляться. Это техническая настройка, доступная в конструкторе.
Добавить текстовый элемент с текстом согласия
В конструкторе Яндекс Форм выбрать тип поля «Текст без ответа» или «Условие согласия». Вставить текст с указанием оператора, целей обработки и ссылкой на политику конфиденциальности.
Сделать поле с согласием обязательным
В настройках поля включить «Обязательный вопрос». Пользователь не сможет отправить форму, не отметив согласие.
Вставить ссылку на политику конфиденциальности
В тексте согласия разместить кликабельную ссылку на страницу политики конфиденциальности вашего сайта. Ссылка на политику Яндекса не подходит — нужна ваша политика.
Убедиться, что чек-бокс пуст по умолчанию
Предустановленная отметка не считается добровольным согласием. Пользователь должен поставить галочку самостоятельно.
Что должно быть в тексте согласия
Согласие — не просто формальность. По требованиям 152-ФЗ оно должно быть конкретным и информированным: пользователь должен понимать, кто собирает данные, зачем и что с ними будет.
Минимальный состав текста согласия
Я даю согласие [Название организации / ФИО ИП] на обработку персональных данных (ФИО, номер телефона, адрес электронной почты) в целях [цель: обработки заявки / обратной связи / записи на консультацию]. Обработка включает сбор, хранение, использование и удаление данных. Данные могут быть переданы ООО «Яндекс» в рамках использования сервиса Яндекс Формы для технической обработки. Согласие действует до его отзыва. Отозвать согласие можно, направив запрос на [email@example.com]. Подробнее — в Политике конфиденциальности.
Замените данные в скобках на реальные. Ссылка на политику конфиденциальности обязательна.
Особенность: упоминание Яндекса
Поскольку данные технически проходят через серверы Яндекса, в тексте согласия и в политике конфиденциальности нужно прямо указать, что данные передаются ООО «Яндекс» для технической обработки в рамках сервиса Яндекс Формы. Это требование об информировании пользователя о третьих лицах, получающих доступ к данным.
Обновление внутренних документов организации
Если организация ранее использовала только собственные формы на сайте — одно дело. При подключении Яндекс Форм схема обработки расширяется: появляется новый участник. Это нужно отразить в документах.
Политику конфиденциальности необходимо обновить — добавить раздел или абзац о том, что для сбора данных организация использует облачный сервис Яндекс Формы, данные временно обрабатываются ООО «Яндекс» на основании договора-оферты.
Добавить Яндекс в перечень третьих лиц
В политике конфиденциальности указать: «Для сбора данных через формы на сайте используется сервис Яндекс Формы (ООО «Яндекс»). Передача данных осуществляется на основании условий использования сервиса.»
Внести Яндекс в реестр процессов обработки ПДн
Если в организации ведётся внутренний реестр или перечень систем обработки данных — добавить Яндекс Формы как инструмент сбора с указанием категорий данных и целей.
Проверить уведомление в Роскомнадзор
Если организация подавала уведомление об обработке ПДн — проверить, корректно ли в нём указано место хранения данных. Серверы Яндекса расположены на территории РФ, что соответствует требованию о локализации.
Место хранения данных и уведомление Роскомнадзора
152-ФЗ требует, чтобы персональные данные российских граждан хранились на серверах, расположенных в России. Яндекс Формы — российский сервис, серверы расположены на территории РФ. С точки зрения требования о локализации это приемлемо.
Однако если организация ранее не подавала уведомление в Роскомнадзор — или подавала давно и не обновляла — стоит убедиться, что в нём корректно указаны все используемые инструменты сбора данных. Яндекс Формы как канал сбора стоит упомянуть при описании процессов обработки.
Ограничения и запреты при использовании сервиса
Яндекс Формы — универсальный инструмент, но не для любых данных. Есть категории, которые собирать через него нельзя или крайне нежелательно.
Специальные категории персональных данных
Здоровье, национальность, политические взгляды, религиозные убеждения, биометрия — для сбора таких данных 152-ФЗ устанавливает особый порядок. Яндекс Формы не является специализированной защищённой системой для таких данных. Собирать их через этот сервис юридически рискованно.
Финансовые и платёжные данные
Номера карт, банковские реквизиты, данные счетов не предназначены для сбора через формы без специальной защиты. Яндекс Формы для таких целей не подходят.
Нарушение правил сервиса = риск блокировки формы
Яндекс вправе заблокировать форму при нарушении условий использования. Если форма — единственный канал сбора заявок, её внезапная блокировка остановит работу. Стоит иметь запасной вариант.
Чек-лист: как проверить форму перед запуском
Перед тем как форма начнёт принимать данные от реальных пользователей, стоит пройтись по этому списку. Каждый пункт — конкретное требование, несоблюдение которого может привести к нарушению закона.
- В форме есть чек-бокс с текстом согласия на обработку персональных данных
- Чек-бокс пуст по умолчанию — пользователь ставит отметку сам
- Поле с согласием сделано обязательным — форму нельзя отправить без отметки
- В тексте согласия указано название организации-оператора
- В тексте согласия перечислены цели обработки данных
- В тексте согласия указано, что данные передаются ООО «Яндекс» для технической обработки
- В тексте согласия есть ссылка на политику конфиденциальности
- Политика конфиденциальности опубликована на отдельной странице сайта
- В политике конфиденциальности упомянут Яндекс как третье лицо, участвующее в обработке
- Форма не собирает специальные категории данных (здоровье, биометрия и др.)
- Условия использования Яндекс Форм приняты — это основание для передачи данных Яндексу
- В политике указан порядок отзыва согласия и удаления данных
Частые вопросы
Нужно ли заключать отдельный договор с Яндексом на обработку ПДн?
Можно ли использовать Яндекс Формы для сбора данных клиентов в медицинской организации?
Если Яндекс Формы встроены в сайт через iframe — меняются ли требования?
Нужно ли уведомлять Роскомнадзор о начале использования Яндекс Форм?
Данные из Яндекс Форм хранятся в России?
Главное
Яндекс Формы — удобный инструмент для сбора данных, который при правильной настройке вполне соответствует требованиям 152-ФЗ. Серверы в России, понятные условия оферты, возможность добавить чек-бокс с согласием — базовый набор для законного использования доступен.
Нарушения возникают не из-за самого сервиса, а из-за того, что форму запускают без согласия, без ссылки на политику конфиденциальности, без обновления документов. Организация принимает данные, но юридически для субъектов данных это происходит в пустоте.
Чтобы форма работала законно, нужно три вещи: корректное согласие внутри формы, актуальная политика конфиденциальности с упоминанием Яндекса и понимание того, что ответственность перед пользователями несёт организация, а не платформа.